Die Anfälligkeiten stecken vor allem in der Linux-Version von Adobe Reader. Einige der Probleme betreffen aber auch die Ausgaben für Windows und Mac OS X.
Im Fall der Linux-Version haben die beiden Sicherheitsforscher nach eigenen Angaben mit Adobe zusammen an Patches für 14 “neue eindeutige Abstürze” und neun “Testfälle” gearbeitet. Alle Lücken seien möglicherweise anfällig für das Einschleusen und Ausführen von Schadcode.
Adobe plane keine weitere Aktualisierung für Reader vor dem 27. August, schreiben Jurczyk und Coldwind in einemBlog. Deswegen hätten sie sich entschlossen, mit den Informationen an die Öffentlichkeit zu gehen. “Adobe will die verbliebenen Bugs mit einem kommenden Update für die Linux-Version von Reader beseitigen.” Die ersten 24 Fehler habe Adobe mit zwölf unterschiedlichen Code-Fixes behoben. Für die restlichen Probleme werde es wahrscheinlich weitere acht Fixes benötigen.
“Auch wenn uns keine Beweise dafür vorliegen, dass die Lücken schon ausgenutzt werden, sind wir beunruhigt”, heißt es weiter in dem Blog. Basierend auf den Unterschieden zwischen der alten und der jetzt gepatchten Windows-Version sei es ohne viel Aufwand möglich, einen funktionierenden Exploit zu entwickeln. “Wir gehen von einem ernsten Risiko für Nutzer von Adobe Reader aus.”
Die Anfälligkeiten seien mithilfe von frei erhältlichen PDF-Dokumenten gefunden worden. Sie seien dafür mit einfachen Algorithmen wie “Bitflipping” manipuliert worden. “Wir halten es für möglich, dass auf das Aufspüren von Fehlern und Schwachstellen spezialisierte Dritte von den Problemen wissen oder sie schon missbrauchen.”
Adobe hatte am Dienstag 20 Sicherheitslöcher in Reader und Acrobat für Windows und Mac OS X gestopft. Die Linux-Variante von Adobe Reader wird im zugehörigen Sicherheitsbulletin nicht erwähnt. Sie wurde zuletzt im April auf die Version 9.5.1 aktualisiert, die allerdings nur in englischer Sprache vorliegt. Deutschsprachige Anwender erhalten auf der Adobe-Website weiterhin die Version 9.4.2, die Adobe seit September 2011 als unsicher einstuft.
[mit Material von Tom Brewster, TechWeekEurope]
IT-Systeme werden vor Ort in einem hochsicheren IT-Safe betrieben, ohne auf bauliche Maßnahmen wie die…
Cloud-Trends 2025: Zahlreiche neue Technologien erweitern die Grenzen von Cloud Computing.
Noah Labs wollen Kardiologie-Praxen und Krankenhäuser in Deutschland durch KI-gestütztes Telemonitoring von Patienten entlasten.
Neun von zehn deutschen Managern erwarten, dass der Einsatz von KI auf ihre Nachhaltigkeitsziele einzahlen…
Intergermania Transport automatisiert die Belegerfassung mit KI und profitiert von 95 Prozent Zeitersparnis.
Cyberattacken finden in allen Branchen statt, und Geschwindigkeit und Häufigkeit der Angriffe werden weiter zunehmen,…